Negli ultimi mesi, il panorama della sicurezza informatica è stato scosso da una sofisticata campagna di distribuzione malware che sfrutta annunci pubblicitari su Facebook per diffondere il malware JSCEAL attraverso app di trading di criptovalute false. Gli esperti di cybersecurity hanno individuato che questa minaccia si basa su una strategia multistrato che mira a rubare credenziali e dati di portafogli digitali, colpendo un numero crescente di utenti attratti dalla promessa di facili guadagni nel mondo delle criptovalute.

Il meccanismo d’attacco inizia con la pubblicazione di migliaia di annunci malevoli su Facebook, spesso tramite account rubati o appena creati. Questi annunci reindirizzano le potenziali vittime verso siti web che imitano servizi noti, come TradingView, inducendo l’utente a scaricare applicazioni fraudolente. Una delle particolarità della campagna è la suddivisione delle funzionalità del malware tra diversi componenti, rendendo l’individuazione e l’analisi più complessa per gli strumenti di sicurezza tradizionali.

All’interno delle pagine web infette, il codice JavaScript svolge un ruolo cruciale, gestendo parte del flusso di installazione e collegandosi a un server locale sulla macchina della vittima. Il file di installazione scaricato scompatta diverse librerie DLL e attiva listener HTTP sul computer infetto, necessari per stabilire una comunicazione continua tra il sito malevolo e il malware. Questo livello di interdipendenza tra sito web e installer complica ulteriormente il rilevamento dell’infezione, dato che se uno solo dei componenti non funziona, l’attacco fallisce.

Per non destare sospetti, il programma malevolo apre una finestra web apparentemente legittima, utilizzando msedge_proxy.exe, che mostra il sito reale dell’applicazione. Nel frattempo, le DLL raccolgono informazioni sul sistema, password salvate, cookie del browser, dati di Telegram, screenshot e persino sequenze di tasti. Se la vittima viene considerata interessante, il processo culmina con l’esecuzione del payload JSCEAL tramite Node.js, che stabilisce un proxy locale in grado di intercettare il traffico web e iniettare script dannosi su siti bancari e di criptovalute, con l’obiettivo di rubare credenziali in tempo reale.

JSCEAL si distingue per la sua resilienza: il codice offuscato e la modularità consentono agli attaccanti di adattare rapidamente le proprie tattiche, eludendo i controlli di sicurezza e rendendo l’analisi del malware lunga e complessa. L’uso di file JSC compilati permette agli attaccanti di nascondere efficacemente il codice malevolo, aggirando molte delle difese convenzionali, e garantendo così un alto tasso di successo nelle campagne di attacco contro utenti di criptovalute.